4252                                                       软件学报  2025  年第  36  卷第  9  期


                 模型间接地学习攻击者选择的特定模式. 在实际场景中, 数据投毒攻击往往应用广泛且更具隐蔽性, 这给对抗投毒
                 攻击的防御机制的探讨带来了挑战. 目前, 一些面向                FL  系统的防御方法主要可以分为以下几类: (1) 检测异常数
                 据  [9−11] , 旨在识别训练数据中的恶意或异常样本, 比如, 搜索离群点、检测不符合正常数据分布的样本; (2) 鲁棒性
                 训练  [12−14] , 旨在改进模型训练过程、采用对抗训练策略或设计聚合策略来提高模型鲁棒性并降低攻击影响; (3) 投
                 毒检测和识别     [15−17] , 利用客户端上传的模型参数     (权重或梯度) 之间的差异或行为分析方法来检测并移除可能的
                 攻击者; (4) 着手于隐私角度      [18−20] , 采用差分隐私和同态加密技术等来保护         FL  中的隐私信息, 防止数据和模型遭
                 受投毒攻击. 以上这些方法都是依赖于连续更新空间. 然而在真实场景中, 连续空间能够提供给攻击者更多选择模
                 型更新的机会, 致使攻击者能够更容易地搜索最优攻击参数, 进而实施目标性的投毒攻击. 相比之下, 离散化空间
                 在一定程度上限制了攻击者选择模型更新的范围. 结合离散更新空间, 可以从本质上减少攻击者的可选择范围, 从
                 而针对性地提高防御策略的性能.
                    为了便于理解, 图      2  给出了客户端更新空间的一个简单示例. 可以看到, 在连续空间中                   (图  2(a)), 客户端更新
                 可以在安全空间内连续变化, 这也是现有研究广泛采用的方法. 在这种情况下, 攻击者能够试图在更新空间中搜索
                 恶意更新或干扰良性更新, 从而成功发起投毒攻击; 而在稀疏空间中                     (图  2(b)), 每次更新只能从有限的若干个离散
                 值中选择, 并以跳跃的方式        (弧状箭头表示) 进行搜索, 其中, 模型更新与离散值之间存在一一对应关系. 特别地,
                 直接采用离散更新空间取代连续更新空间将会对                  CEFL  系统带来一定的影响, 主要包括: (1) 关键信息丢失, 连续
                 空间可以通过微小变化捕捉数据中的细微模式和结构, 而离散空间无法精确表示这些差异; (2) 收敛速度慢, 连续
                 空间允许模型在每次更新中进行微小调整并快速逼近最优解, 而离散空间可能需要更多轮迭代达到相当的水平; (3) 计
                 算时间和通信代价增加, 连续空间允许模型参数在更细粒度的范围内调整以寻找全局最优解, 而离散空间限制了
                 参数的可调范围, 可能导致陷入局部最优, 难以跳出. 因此, 合理利用离散空间开发鲁棒的防御策略存在一定难度.


                              良性更新        良性更新的聚合模型                  模型更新到离        可接受的客户端
                                                                     散空间的映射        更新的离散空间
                              恶意更新        恶意更新的聚合模型
                                                                  稀疏空间                  B
                                    安全空间         所有空间
                                   M
                                            ˆ M
                                                                  A



                                    (a) 连续空间                               (b) 离散空间
                                                  图 2 客户端更新空间示例

                    相反, 如果在创建离散空间的同时能够保留客户端的本地特征模式, 则关键信息丢失的概率将大大降低. 此
                 外, 考虑到参与    FL  协作训练的客户端的贡献不同, 恶意客户端在发起投毒攻击之后, 通过上传恶意更新欺骗服务
                 器, 同时从其他良性客户端的模型更新中搭便车受益, 进而对全局模型的性能造成影响. 基于此, 本文依赖于离散
                 更新空间并兼顾客户端之间的公平性来探讨抵抗投毒攻击的防御方法, 其主要有以下                            3  个挑战.
                    (1) 如何为不同客户端创建离散更新空间? 如上文所述, 在许多实际场景中, 由于客户端更新空间的连续性, 导
                 致其难以创建离散空间. 一种有效应对连续更新空间的方法是利用机器学习技术, 期望充分利用客户端训练的本
                 地模型, 结合权重参数作为基准, 依据神经网络特定层的连接边, 以构建离散更新空间. 所以, 如何创建可行且有效
                 的离散空间, 对防御性能至关重要.
                    (2) 如何保证参与    FL  任务训练的不同客户端之间的协作公平性? 由于客户端的多样化使得具有较低贡献的
                 参与者能够从贡献较高的参与者中受益, 最终导致全局模型的性能下降且加剧了客户端之间的不公平性. 因而亟
                 需一种策略使其不仅能够量化参与者真实的贡献度大小, 同时也能够保留客户端的本地特征模式.